La CNIL planifie des exigences accrues sur les cartes NFC
Une communication pour mieux informer et protéger les porteurs
En France, 33 millions, soit plus de la moitié des cartes de paiement, sont aptes au paiement sans contact NFC. Cette rapide montée en charge a inquiété certains consommateurs. La CNIL fait le point sur les devoirs des émetteurs, découlant de l’art. 32 de la loi « informatique et libertés ». Depuis sa recommandation de juillet 2013, les porteurs doivent être clairement informés de la fonctionnalité NFC et pouvoir la refuser. L’émetteur peut au choix :
•la remplacer sur demande par une carte qui ne fonctionne qu’en mode à contact,
•opérer la désactivation sur DAB après requête du porteur sur le site de banque en ligne,
•émettre des cartes dont l’interface sans contact est inactive par défaut et n'est activée qu'à la demande de l’utilisateur, certains établissements opérant déjà ainsi.
Si l'émetteur a refusé de désactiver gratuitement et sans condition le sans contact, le porteur peut saisir le médiateur de sa banque et, en parallèle, la CNIL, qui pourra intervenir auprès de la banque.
Depuis septembre 2012, la CNIL a fait rendre illisible le nom du porteur en mode sans contact. Depuis juin 2013, il n’est plus possible de lire l’historique des transactions. Les données encore accessibles en mode NFC ne suffiraient pas à recréer de fausses cartes ou à initier des transactions frauduleuses. En juillet 2013 enfin, la CNIL a appelé les émetteurs à une « adaptation constante des mesures de sécurité » afin d’éviter collecte et ré-usage de ces données par des tiers. Elle renvoie aux recommandations de 2007 et 2009 de l’Observatoire de la Sécurité des Cartes de Paiement (Banque de France). A présent, elle demande le chiffrement, à terme, des échanges NFC entre cartes et terminaux.
Notre analyse - Dilemme entre vie privée et incitation à un nouvel usage
Pour les émetteurs, comme pour les commerçants, le paiement NFC est l’opportunité de réduire le coût des espèces, tant lors du passage au point d’encaissement que durant la comptabilité. De ce fait, après de longues expérimentations dans quelques départements, la généralisation sur les cartes a démarré mi-2012. Le but était de sortir du dilemme de la poule et de l’œuf et de créer un effet d'entraînement sur le parc installé de terminaux. Or, selon le GIE CB, 22 % des commerces CB sont aptes, mais seuls la moitié actifs.
Pour faciliter l'adoption, le plus efficace est d’activer cette fonction par défaut. Ceci se heurte à l’absence de consentement éclairé avancée par certains porteurs. Si les banques durcissent encore la sécurité du NFC et sont convaincantes, elles pourront triompher de cette opposition latente.
Dans un tout autre domaine, l’actualité des régulateurs s’avère incertaine pour les émetteurs. Aux Etats-Unis, MasterCard a ainsi échoué à réunir, le 20 mai, l'adhésion de banques représentant 90 % des comptes cartes touchés par la fuite de données de la chaîne Target. Le compromis d'indemnisation collective pour 19 milliards de dollars – préalablement attaqué en justice, en vain, par certains établissements – ne s'appliquera donc pas. Ceci laisse le champ libre aux poursuites individuelles des banques, engagées en parallèle dans plusieurs ressorts judiciaires des Etats-Unis.